Teams noAV
Genau wie bei Skype for Business gibt es Clients oder Standorte, die keine PC-gestützte Audio/Video-Kommunikation nutzen dürfen. Standorte mit schlechten Bandbreiten, technische Beschränkungen wie z.B. RDP/ICA oder einfach keine passenden Endgeräte fallen darunter. Wie kann ich das einstellen ?
Audio/Video-Nutzung steuern
Teams wird im Gegensatz zu Skype for Business immer über den Server konfiguriert. Es gibt keine Gruppenrichtlinien oder lokale Konfigurationseinstellungen. Die AV-Nutzung lässt sich daher nur über Policies in der Cloud vorgegeben. Microsoft selbst beschreibt dazu:
The Teams calling and meeting experience
isn't optimized for a VDI environment (coming soon). We
recommend you set user-level policies to turn off calling
and meeting functionality in Teams.
Teams for Virtualized Desktop Infrastructure
https://docs.microsoft.com/de-de/microsoftteams/teams-for-vdi
Für das Abschalten der Audio/Video-Funktion bedient sich Microsoft zweier Richtlinien:
- Anrufrichtlinien (CsTeamsCallingPolicy)
Damit wird die Telefonie-Funktion mit Telefonteilnehmern aber auch Federation und anderen Teams/Skype-Anwendern gesteuert - Konferenzrichtlinie (CsTeamsMeetingPolicy
)
Hiermit wird die Audio/Video-Funktion in Besprechungen gesteuert
Beide Einstellungen sind per Browser im Teams Admin Portal steuerbar als auch per Powershell.
Anrufrichtlinien steuern
Bei den Anrufrichtlinien liefert Office 365 schon drei Vorlagen mit, die Sie direkt den Anwendern zuweisen können. Nur die hier sichtbare "BusyOnBusy"-Vorlage ist manuell erstellt.
Für die Deaktivierung von Audio in Gesprächen ist die "DesallowCalling"-Richtlinie passende, die folgende Einstellungen zusammenfasst:
Get-CsTeamsCallingPolicy -identity Tag:DisallowCalling Identity : Tag:DisallowCalling AllowCalling : False AllowPrivateCalling : False AllowVoicemail : False AllowCallGroups : False AllowDelegation : False AllowUserControl : False AllowCallForwardingToUser : False AllowCallForwardingToPhone : False PreventTollBypass : False
- Set-CsTeamsCallingPolicy
https://docs.microsoft.com/en-us/powershell/module/skype/set-csteamscallingpolicy?view=skype-ps
Besprechungsrichtlinien
Die zweite Richtlinie bezieht sich auf Audio/Vide in Besprechungen. Auch hier gibt es einige standardmäßig vorhandene Vorlagen:
.
Hier habe ich leider keine "passende" Policy gefunden, die nur Audio/Video abschaltet. Daher müssen Sie eine oder mehrere neue Richtlinien anlegen, in denen Sie IP-Video verhindern und die Bandbreite entsprechend anpassen.
Dabei ist zu beachten, dass die Einstellung "IP-Video" steuert, ob der Benutzer Video senden kann. Wenn er dies nicht darf, können aber andere Personen im Meeting durchaus Video senden und auch der für Video deaktivierte Benutzer kann die Videos sehen. Die Media Bitrate hingegen wirkt sich auf den Benutzer in beide Richtungen aus. Sie bestimmte sowohl den Upstream als auch DownStream im Meeting des Clients und kann daher eher dazu genutzt werden, die Nutzung zu steuern. Leider ist aber 30kBit der minimale Wert, der hier einstellbar ist.
- Manage meeting policies in Teams
https://docs.microsoft.com/de-de/microsoftteams/meeting-policies-in-teams - Meeting policy settings - Audio & video
https://docs.microsoft.com/de-DE/microsoftteams/meeting-policies-in-teams?WT.mc_id=TeamsAdminCenterCSH#meeting-policy-settings---audio--video - Managing Users with Teams Messaging
Policies
https://www.petri.com/managing-users-teams-messaging-policies
Zuweisen an den Benutzer
Zuletzt müssen die Richtlinien dann natürlich auch den Anwendern zugewiesen werden. Auch das können Sie für einzelne Benutzer noch per Browser machen:
Wenn Sie viele Benutzer zu verwalten haben, dann ist das eher eine Aufgabe für PowerShell.
Grant-CsTeamsMessagingPolicy ` -PolicyName "MinimalAV"" ` -Identity "testuser1" Get-CsOnlineUser ` -Identity "testuser1" ` | Format-Table UserPrincipalName, TeamsMessagingPolicy
AV auf dem Netzwerk blocken
Sie haben aber schon gemerkt, dass diese Funktion hier nur "Pro User" steuerbar ist aber nicht pro Computer. Einen sauberen Weg zur Beschränkung pro Computer gibt es aktuell noch nicht. Aber eine Möglichkeit steht Ihnen doch offen, wobei die "Erfahrung" der Anwender natürlich gegen den Einsatz solcher Methoden spricht.
Teams nutzt für Audio die Portrange 50000-50019 und Video über 50020-50039 als Quellport. Wenn Teams über die TURN-Server gehen muss, dann sind offiziell 3478-3481/UDP die genutzten Ports. Leider stimmt das nicht, wie ein Wireshark schon zeigt. TURN nutzt auch andere Ports aber die Quellports sind in der Range.
Leider ist es mir nicht gelungen, diese Verbindungen allein über die Windows Firewall zu unterbinden. Selbst mit einer Regel, die alle relevanten Ports und jedes Programm blockt, hat Teams nicht daran gehindert, zu kommunizieren
Allerdings sind lokale Firewalls immer eine schlecht skalierbare Einstellung. Hier ist dann schon die Netzwerkfirewall gefragt. Wenn UDP erfolgreich gesperrt ist, kann es immer noch passieren, dass der Client die Daten über HTTPS (443/TCP) überträgt, die sie dann auch noch z.B. auf einem Proxy entsprechend filtern müssen.
Da allerdings Teams selbst davon nichts weiß, wird es dem Benutzer natürlich weiterhin die Icons für Audio/Video anbieten. Wenn der Benutzer dann versucht, Audio oder Video zu aktivieren, dann kommt die Verbindung einfach mit einer Fehlermeldung nicht zustande.
Ich hoffe, dass Microsoft irgendwann z.B. eine Konfiguration für bestimmte Subnetze zulässt. Aktuell können Sie in Teams ja schon ihre Netzwerk und Standorte hochladen. Es sollte ein kleiner Schritt sein, Location-basierte Richtlinien für Audio/Video zu hinterlegen. So könnten dann Subnetze oder auch einzelne Computer oder Terminal Server abweichend konfiguriert werden. Aktuell werden die Daten "nur" für Call Analytics genutzt
- Adding and updating Locations data
https://docs.microsoft.com/de-DE/microsoftteams/learn-more-about-site-upload - Set up Call Analytics
https://docs.microsoft.com/de-DE/microsoftteams/set-up-call-analytics - Use the Network Planner for Microsoft
Teams
https://docs.microsoft.com/de-DE/microsoftteams/network-planner
Zwischenstand
Ich kann Microsoft schon verstehen, dass Teams das nächste große Ding ist und nach der Abkündigung von Skype for Business Online zum 31.6.2021 wird Teams noch mehr Benutzer bedienen. Allerdings sehe ich durchaus einen Bedarf die Nutzung von Audio/Video auch pro Client zu steuern und nicht nur pauschal pro Benutzer. Es kann ja durchaus sein, dass ein Anwender auf seinem Smartphone und Laptop mit Teams telefoniert aber eben nicht per Terminal Services oder an Standorten, in denen Audio aus unterschiedlichsten Gründen nicht genutzt werden kann oder darf.
Hier ist noch eine große Lücke bei der Provisionierung, die vermutlich schnell gelöst werden könnte. Ich kann heute schon in Teams Subnetze und Standorte pflegen. Es fehlt nur noch die Option eine Policy darauf anzuwenden, die eine Benutzerrichtlinie überstimmt. Ich weiß leider nicht, ob so eine Funktion schon geplant ist.
Weitere Links
- Teams auf Terminal Server / Citrix
- Teams Policy Enforcement
- Known issues for Microsoft Teams
https://docs.microsoft.com/de-de/microsoftteams/known-issues - Teams for Virtualized Desktop
Infrastructure
https://docs.microsoft.com/de-de/microsoftteams/teams-for-vdi - Set-CsTeamsCallingPolicy
https://docs.microsoft.com/en-us/powershell/module/skype/set-csteamscallingpolicy?view=skype-ps - Manage meeting policies in Teams
https://docs.microsoft.com/de-de/microsoftteams/meeting-policies-in-teams - Meeting policy settings - Audio & video
https://docs.microsoft.com/de-DE/microsoftteams/meeting-policies-in-teams?WT.mc_id=TeamsAdminCenterCSH#meeting-policy-settings---audio--video - Managing Users with Teams Messaging
Policies
https://www.petri.com/managing-users-teams-messaging-policies